我正试图了解所有基于声明的 Windows 身份基础魔法。
假设我不想使用 ADFS,我不清楚的一件事是最好使用 WIF 推出自己的 STS 来完成一些艰苦的工作还是依赖第三方。
如果是第三方选项 - 有哪些第三方 STS
问问题
2473 次
4 回答
3
Safewhere*Identify是基于 WIF 构建的第三方 STS,但支持其他协议并且具有比 ADSF2 更可插拔的架构。
全面披露:我在 Safewhere 工作,并积极参与产品的架构和开发。
于 2009-12-04T16:39:33.417 回答
3
您永远不应该推出自己的 STS(如果可以避免的话)。创建适合开发人员演示的 STS 是微不足道的,但世界级的企业级 STS 绝非易事。除了 ADFS 和 Safewhere 的 STS(Mark 提到)之外,以下产品还包括 STS(或者他们说他们支持 WS-Trust,这意味着这一点):
- Novell 访问管理器
- Ping 身份 PingFederate
- Symlabs 联合身份套件
- 开放式单点登录
- 沃德尔
- 希巴莱斯
- Redhat JBoss Identity (alpha)
- Oracle Identity Federation(我不清楚这个产品是否支持 WS-Trust,但如果不支持,我会感到惊讶。)
此外,Java 框架 Metro 就像 WCF + WIF。它拥有创建 STS 所需的一切,这是你不应该做的;但是,如果您评估这些产品并发现它们不能满足您的需求,那么您自己的产品是您唯一的选择。
于 2009-12-09T15:35:54.377 回答
1
当然,这完全取决于您的身份验证信息在哪里。如果您没有使用 AD,而是使用其他东西,则由该提供商提供 STS。
如果您想要的只是数据库驱动的东西,那么那里有一些,这取决于您在定制它时最满意的开发平台。
如果您使用的是 .NET,那么您可以使用StarterSTS作为起点(不是双关语)。
于 2009-12-04T15:25:54.673 回答
0
特拉维斯,
我对 IdM 领域中列出的许多产品都很熟悉。尤其是 Novell 和 Oracle……但其中大多数要么是整个堆栈,要么是套件的一部分。所有这些都需要身份存储和身份验证服务,对吗?
例如,要使用 Novell、Oracle 或 Ping,您仍然需要实现目录或其他用户存储,以某种方式验证用户(例如,使用产品提供的服务的 IWA 或登录页面),然后联合该用户到基于 WIF 的 RP,对吗?
您如何建议将这些建议与自己动手的 ADFS 实施进行比较?
我问的原因...
我们已经建立了一个基于声明的核心框架和产品集,使用 WIF 来消费这些声明。我们现在正在考虑将 ADFS 部署为 STS,并希望先退后一步,考虑是否有一种方法可以加速真正的产品部署。到目前为止,我们一直在使用 starterSTS...
我们需要支持多种身份验证选项:1) 使用我们的内部 AD 为我们企业内的用户进入 RP 的 IWA 2) 为我们客户的用户提供一种使用我们拥有和控制的用户作为其 IDP 登录的方式(假设为它们,与我们的内部 AD 分开)和 3)外部 IDP,我们的客户在这些 IDP 中对用户进行身份验证并与我们联合。
选项 2 是我们需要一些身份验证服务来实现的……因此,由于我们无法摆脱与外部 IDP 的 100% 联合 SSO,因此任何第三方选项都必须包括身份验证服务。
我简要地查看了安全地点网站,并没有看到任何有关使用 WIF 的 STS 替代方案的可用细节。我看到了一些联合产品和 WAM 产品……它们作为 STS 到底提供了什么?
感谢您提供的任何意见。
于 2010-01-14T22:50:05.733 回答